レートベースのルールによってレート制限されている IP アドレスの一覧表示 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

レートベースのルールによってレート制限されている IP アドレスの一覧表示

このセクションでは、CLI、API、または任意の SDK を使用して、レートベースのルールによって現在レート制限されている IP アドレスのリストにアクセスする方法を調べる方法について説明します。

レートベースのルールが IP アドレスまたは転送された IP アドレスのみを集約する場合、ルールによって現在レート制限されている IP アドレスのリストを取得できます。AWS WAF は、これらの IP アドレスをルールの管理キーリストに保存します。

注記

このオプションは、IP アドレスのみ、またはヘッダーの IP アドレスのみを集約する場合に限り使用できます。カスタムキーのリクエスト集約を使用する場合、カスタムキーでいずれかの IP アドレス仕様を使用しても、レート制限されている IP アドレスのリストは取得できません。

レートベースのルールは、そのルールのスコープダウンステートメントと一致する、ルールのマネージドキーリストからのリクエストにルールアクションを適用します。ルールにスコープダウンステートメントがない場合は、リストに含まれている IP アドレスからのすべてのリクエストにアクションが適用されます。ルールアクションはデフォルトで Block ですが、Allow を除く有効なルールアクションであればどれでもかまいません。AWS WAF が 1 つのレートベースのルールインスタンスを使用して制限できる、IP アドレスの最大数は 10,000 です。10,000 を超えるアドレスがレート制限を超過した場合、AWS WAF はレートが最も高いアドレスを制限します。

CLI、API、または任意の SDK を使用して、レートベースのルールのマネージドキーリストにアクセスできます。このトピックでは、CLI および API を使用したアクセスについて説明します。現時点では、コンソールからリストにアクセスすることはできません。

AWS WAF API の場合、コマンドは GetRateBasedStatementManagedKeys です。

AWS WAF CLI の場合、コマンドは get-rate-based-statement-managed-keys です。

Amazon CloudFront ディストリビューションのウェブ ACL で使用されているレートベースのルールのレート制限されている IP アドレスのリストを取得する構文を次に示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

以下は、リージョンアプリケーション、Amazon API Gateway REST API、Application Load Balancer、AWS AppSync GraphQL API、Amazon Cognito ユーザープール、AWS App Runner サービス、または AWS Verified Access インスタンスの構文を示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

AWS WAF は、ウェブリクエストをモニタリングし、ウェブ ACL、オプションのルールグループ、およびレートベースのルールの一意の組み合わせごとにキーを個別に管理します。例えば、ルールグループ内でレートベースのルールを定義してから、ウェブ ACL でルールグループを使用すると、AWS WAF はウェブリクエストをモニタリングし、そのウェブ ACL、ルールグループ参照ステートメント、およびレートベースのルールインスタンスのキーを管理できます。2 つ目のウェブ ACL で同じルールグループを使用する場合、AWS WAF はウェブリクエストをモニタリングし、最初の使用とは完全に独立して、この 2 つ目の使用のためにキーを管理します。

ルールグループ内で定義したレートベースのルールの場合は、ルールグループ内のウェブ ACL 名とレートベースのルール名に加えて、リクエストでルールグループ参照ステートメントの名前を指定する必要があります。レートベースのルールがルールグループ内で定義され、ウェブ ACL でルールグループが使用されるリージョンレベルのアプリケーションの構文を次に示します。

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName